サプライチェーン攻撃の兆候
サプライチェーン攻撃を早期に発見するために、どのような兆候に注意すべきかを知っておくことが重要です。
- 正規ソフトウェアからの異常な通信
- 普段使用しているソフトウェアが、見慣れない外部サーバーと通信している場合は要注意です。サプライチェーン攻撃では、正規のソフトウェアにバックドアが仕込まれ、C2(Command and Control)サーバーと通信することがあります。
- ソフトウェア更新後の異常
- ソフトウェアをアップデートした直後から、システムの動作が遅くなる、エラーが発生する、不審なプロセスが起動するなどの異常が見られる場合は、アップデートに問題が含まれている可能性があります。
- 認証の異常
- 身に覚えのないログイン試行、権限変更、新規アカウント作成などが発生している場合は、攻撃者がシステムに侵入している可能性があります。特に、取引先のアカウントや、システム連携用のサービスアカウントに注意します。
- 取引先からの異常な連絡
- 取引先から「不審なメールを受け取った」「システムに異常がある」などの連絡があった場合は、サプライチェーン攻撃の可能性を疑います。攻撃者が取引先を装って連絡してくる場合もあるため、正規の連絡先で確認することが重要です。
- ベンダーからのセキュリティ情報
- 利用しているソフトウェアのベンダーから、脆弱性情報やセキュリティアドバイザリが公開された場合は、自社環境への影響を速やかに確認します。
| 兆候の種類 | 具体例 | 確認方法 |
|---|---|---|
| 異常な通信 | 未知のIPアドレスへの定期的な通信 | ファイアウォール/プロキシログ |
| 異常なプロセス | 見慣れないプロセスの起動、高CPU使用率 | タスクマネージャー、EDR |
| 認証の異常 | 深夜のログイン、権限変更 | 認証ログ、Active Directory |
| ファイルの異常 | 不審なファイルの作成・変更 | ファイル整合性監視 |
| セキュリティ製品の検知 | アンチウイルス、EDRのアラート | セキュリティ製品のコンソール |
初動対応の手順
サプライチェーン攻撃の兆候を発見した場合、または攻撃を受けた可能性がある場合の初動対応手順を解説します。
- ステップ1:状況の把握
- まず、何が起きているのかを把握します。どのシステムで異常が発生しているか、いつから発生しているか、どのような異常かを確認します。この段階では、状況を正確に把握することが優先であり、慌てて対処を始めないことが重要です。
- ステップ2:証拠の保全
- 調査や法的対応のために、証拠を保全します。ログファイル、メモリダンプ、ディスクイメージなどを収集します。**証拠を上書きしないよう注意**し、できれば専門家の指示を仰ぎましょう。電源を切る前にメモリダンプを取得することが重要な場合もあります。
- ステップ3:ネットワーク隔離
- 被害の拡大を防ぐため、感染が疑われるシステムをネットワークから隔離します。LANケーブルを抜く、Wi-Fiを無効化する、VLANで隔離するなどの方法があります。ただし、**電源は切らない**ようにします(証拠保全のため)。
- ステップ4:エスカレーション
- 事前に定められた手順に従い、上長、セキュリティ担当、経営層へ報告します。サプライチェーン攻撃は、取引先への影響も考慮する必要があるため、早期のエスカレーションが重要です。
- ステップ5:関係者への連絡
- 影響を受ける可能性のある取引先、顧客、外部のセキュリティ専門家(契約がある場合)、関係当局(必要に応じて)に連絡します。連絡のタイミングと内容は、事前に策定した計画に従います。
初動対応で避けるべき行動
- 感染端末の電源を切る
- 電源を切ると、メモリ上の証拠が失われます。また、ランサムウェアの場合、復号キーがメモリ上にある可能性もあります。専門家の指示があるまで電源は切らないでください。
- 自己判断での復旧作業
- 十分な調査なしに復旧作業を行うと、攻撃の痕跡が消えたり、バックドアが残ったまま運用を再開したりするリスクがあります。専門家と連携して対応しましょう。
- 情報の非公開
- 被害を隠そうとすると、後でより大きな問題になる可能性があります。法的な報告義務がある場合もあります。適切なタイミングで適切な相手に情報を共有することが重要です。
連絡網の整備
インシデント発生時に迅速に対応するためには、事前に連絡網を整備しておくことが重要です。
社内連絡網
| 連絡先 | 役割 | 連絡タイミング |
|---|---|---|
| 直属の上長 | 第一報の受領、判断 | 発見時即座に |
| セキュリティ担当/CSIRT | 技術的対応の指揮 | 発見時即座に |
| 情報システム部門 | システム対応、隔離 | 発見時即座に |
| 経営層/CIO/CISO | 意思決定、対外発表 | 重大インシデントと判断時 |
| 法務部門 | 法的対応、契約確認 | 被害確定時 |
| 広報部門 | 対外発表、メディア対応 | 公表が必要と判断時 |
| 人事部門 | 従業員への周知 | 社内周知が必要と判断時 |
社外連絡先
- 取引先・パートナー
- サプライチェーン攻撃では、取引先への影響も考慮する必要があります。攻撃元となった取引先への確認、影響を受ける可能性のある取引先への通知が必要です。連絡先リストを事前に整備しておきましょう。
- 顧客
- 顧客のデータが影響を受ける可能性がある場合は、顧客への通知が必要です。通知のタイミング、内容、方法を事前に検討しておきましょう。
- 外部専門家
- セキュリティベンダー、フォレンジック調査会社、弁護士などの連絡先を事前に確保しておきます。インシデント発生後に探し始めると対応が遅れます。
- 関係当局
- 警察(サイバー犯罪相談窓口:#9110)、IPA(03-5978-7509)、JPCERT/CC、個人情報保護委員会などの連絡先を把握しておきます。業種によっては、監督官庁への報告義務がある場合もあります。
| 連絡先 | 電話番号/連絡先 | 連絡が必要なケース |
|---|---|---|
| 警察(サイバー犯罪相談) | #9110 | 犯罪被害が疑われる場合 |
| IPA | 03-5978-7509 | ウイルス感染、不正アクセス |
| JPCERT/CC | Webフォーム | インシデント報告 |
| 個人情報保護委員会 | 03-6457-9680 | 個人情報漏洩の可能性 |
取引先との連携
サプライチェーン攻撃では、取引先との連携が特に重要です。攻撃元が取引先の場合も、自社が攻撃の経路となる場合もあります。
- 攻撃元が取引先の場合
- 取引先のシステムやソフトウェアを経由して攻撃を受けた場合、取引先に状況を確認し、情報を共有します。取引先が攻撃に気づいていない場合もあるため、発見した情報を提供することが、被害拡大の防止につながります。
- 自社が攻撃の経路となる場合
- 自社のシステムやソフトウェアが攻撃の経路となり、取引先に被害が及ぶ可能性がある場合は、速やかに取引先に通知します。通知が遅れると、取引先の被害が拡大するだけでなく、信頼関係にも影響します。
- 情報共有の範囲
- 取引先と共有する情報の範囲を慎重に判断します。攻撃の詳細を共有することで対策に役立つ反面、機密情報が含まれる場合もあります。NDAに基づいて、適切な範囲で情報を共有しましょう。
- 共同対応
- サプライチェーン攻撃では、自社だけでなく取引先と共同で調査・対応を行う必要がある場合があります。フォレンジック調査の分担、復旧作業の調整、公表のタイミングなどを協議します。
取引先管理の詳細については、サプライチェーン攻撃対策の取引先管理|評価・契約・監査・TPRMをご覧ください。
インシデント対応計画の策定
インシデント発生時に迅速かつ適切に対応するためには、事前にインシデント対応計画を策定しておくことが重要です。
計画に含めるべき要素
- 目的と適用範囲
- 計画の目的、適用されるインシデントの種類、対象となる組織・システムの範囲を定義します。
- 役割と責任
- インシデント対応に関わる各役割(インシデントマネージャー、技術担当、広報担当など)と、その責任を明確にします。
- 対応フェーズ
- 検知・分析→封じ込め→根絶→復旧→事後活動の各フェーズで行うべき作業を定義します。
- エスカレーション基準
- どのような状況で、誰に、どのタイミングで報告するかの基準を定義します。
- 連絡網
- 社内・社外の連絡先リストと、連絡手順を定義します。
- 外部リソース
- セキュリティベンダー、フォレンジック業者、弁護士など、外部の支援を受ける場合の連絡先と契約内容を記載します。
サプライチェーン攻撃特有の考慮事項
- 取引先への通知手順
- サプライチェーン攻撃では、取引先への影響を考慮した通知手順が必要です。通知のタイミング、内容、方法を事前に定義しておきます。
- ソフトウェア更新の停止判断
- ソフトウェアサプライチェーン攻撃が疑われる場合、自動更新を停止するかどうかの判断基準を定義します。
- 広範な被害への対応
- サプライチェーン攻撃は、同時に多くの組織に被害が及ぶ可能性があります。業界全体での情報共有や、共同対応の手順を検討しておきます。
インシデント対応演習
計画を策定しただけでは、実際のインシデント発生時に効果を発揮しません。定期的な演習を通じて、計画の実効性を検証し、改善することが重要です。
演習の種類
- 机上演習(テーブルトップ演習)
- シナリオを提示し、参加者が対応手順を議論する形式の演習です。実際のシステムを使用しないため、低コストで実施できます。計画の妥当性確認、役割の認識共有、コミュニケーションの確認に有効です。
- 機能演習
- 特定の機能(連絡網の確認、バックアップからの復旧など)を実際に試す演習です。机上演習よりも実践的ですが、範囲を限定して実施できます。
- 総合演習
- 実際のシステムを使用し、インシデント対応の全プロセスを実施する演習です。最も実践的ですが、コストと準備が必要です。年1回程度の実施を推奨します。
サプライチェーン攻撃を想定した演習シナリオ
| シナリオ例 | 演習のポイント |
|---|---|
| 利用ソフトウェアのアップデートにマルウェアが混入 | ベンダー情報の確認、更新停止判断、影響範囲特定 |
| 取引先経由でランサムウェアに感染 | 取引先との連携、隔離判断、復旧手順 |
| MSPのシステムが侵害され、自社環境に侵入 | MSPとの連携、アクセス遮断、影響調査 |
| 自社が開発したソフトウェアを通じて顧客に被害 | 顧客への通知、原因調査、対外発表 |
- 演習後の振り返り
- 演習後は必ず振り返りを行い、良かった点、改善すべき点を洗い出します。計画の修正、手順の見直し、追加の訓練などにつなげます。
- 演習の頻度
- 机上演習は半年〜年1回、機能演習は四半期〜半年に1回、総合演習は年1回程度を目安に実施します。
フォレンジックと法的対応
重大なサプライチェーン攻撃が発生した場合、フォレンジック調査と法的対応が必要になることがあります。
- フォレンジック調査
- 攻撃の原因、経路、被害範囲を特定するための調査です。専門的な知識と技術が必要なため、通常は外部の専門業者に依頼します。証拠保全が適切に行われていないと、調査が困難になるため、初動対応での証拠保全が重要です。
- 法的報告義務
- 個人情報の漏洩があった場合、個人情報保護法に基づく報告義務があります。また、業種によっては監督官庁への報告義務がある場合もあります。報告期限や報告内容を確認し、適切に対応しましょう。
- 損害賠償・法的措置
- 攻撃によって被害を受けた場合、攻撃者や責任のある当事者に対する法的措置を検討することがあります。弁護士と連携して対応しましょう。
- サイバー保険
- サイバー保険に加入している場合、保険会社への連絡、保険金請求の手続きを行います。保険でカバーされる範囲(調査費用、復旧費用、賠償金など)を事前に確認しておきましょう。
関連する攻撃手法
インシデント対応において、攻撃手法の理解は重要です。以下の攻撃手法についても把握しておきましょう。
- ランサムウェア
- サプライチェーン攻撃の最終段階として使用されることが多いです。Kaseya事件でもランサムウェアが配布されました。バックアップからの復旧手順を事前に確認しておくことが重要です。
- マルウェア感染
- サプライチェーン攻撃では、正規ソフトウェアに偽装したマルウェアが配布されます。感染端末の特定と隔離が初動対応の鍵となります。
- 標的型攻撃(APT)
- 国家支援型のサプライチェーン攻撃は、APTの特徴を持つことがあります。長期間潜伏し、複数のシステムに侵入している可能性を考慮した対応が必要です。
- 不正アクセス
- サプライチェーン攻撃では、正規の認証情報を使って侵入するケースが多いです。認証ログの詳細な分析が、攻撃の特定に役立ちます。
- 横展開・権限昇格
- 侵入後の活動として行われます。どこまで侵入が広がっているかの調査が、被害範囲の特定に重要です。
- データ持ち出し(Exfiltration)
- 攻撃者が情報を窃取している可能性があります。どのデータが持ち出されたかの特定が、影響評価と通知の判断に必要です。
- 情報漏洩
- サプライチェーン攻撃の結果として情報漏洩が発生することがあります。漏洩した情報の特定と、通知・報告の対応が必要です。
よくある質問
- Q: インシデント発生時、最初に何をすべきですか?
- A: 最初に行うべきは**状況の把握**です。何が起きているのか、どのシステムで発生しているのかを確認します。次に、**証拠の保全**(ログの収集、メモリダンプなど)を行い、**ネットワーク隔離**で被害拡大を防ぎます。そして、事前に定められた手順に従って**エスカレーション**します。慌てて電源を切ったり、自己判断で復旧作業を始めたりしないことが重要です。
- Q: 取引先にはいつ連絡すべきですか?
- A: 取引先への連絡タイミングは、**影響の可能性が明らかになった時点**で速やかに行うべきです。ただし、連絡する情報の内容と範囲は慎重に検討します。攻撃の詳細が不明な段階でも、「調査中であること」「現時点で判明していること」「取引先が取るべきアクション」を伝えることで、取引先側での対策が可能になります。通知が遅れると被害が拡大し、信頼関係にも影響します。
- Q: フォレンジック調査は必ず必要ですか?
- A: すべてのケースでフォレンジック調査が必要なわけではありません。ただし、以下のような場合は専門的な調査を検討すべきです。被害の原因・経路が不明な場合、個人情報や機密情報の漏洩が疑われる場合、法的対応(訴訟、保険請求など)を予定している場合、同様の攻撃の再発を防止したい場合。費用はかかりますが、適切な調査なしに復旧すると、バックドアが残ったまま運用を再開するリスクがあります。
- Q: インシデント対応演習はどのくらいの頻度で実施すべきですか?
- A: **机上演習は年1〜2回**、**機能演習は半年に1回程度**を目安に実施することをお勧めします。総合演習は負荷が高いため、年1回程度で構いません。また、計画を変更した場合や、新しい脅威が出現した場合にも演習を実施して、対応力を確認しましょう。演習後の振り返りと計画の改善も重要です。
- Q: サイバー保険には加入すべきですか?
- A: サイバー保険への加入は、**リスク管理の一つの手段**として検討する価値があります。保険でカバーされる内容(調査費用、復旧費用、損害賠償、事業中断損失など)を確認し、自社のリスクプロファイルに合った保険を選びましょう。ただし、保険はあくまでも「事後の補償」であり、セキュリティ対策の代わりにはなりません。まずは予防対策を講じた上で、残存リスクに対して保険を活用するという考え方が適切です。
まとめ
サプライチェーン攻撃の感染時対応について解説しました。要点を整理します。
- 攻撃の兆候(異常な通信、認証の異常など)を把握する
- 初動対応は状況把握→証拠保全→隔離→エスカレーションの順で
- 連絡網を事前に整備(社内・社外・関係当局)
- 取引先との連携がサプライチェーン攻撃対応の鍵
- インシデント対応計画を事前に策定
- 演習で計画の実効性を検証し、継続的に改善
- 重大インシデントではフォレンジック調査を検討
「そのとき」に慌てないためには、平時からの準備が不可欠です。計画の策定、連絡網の整備、演習の実施を今から始めましょう。
対策カテゴリの全体像は、サプライチェーン攻撃の対策|自社で実践すべき防御策を解説をご覧ください。
サプライチェーン攻撃の基礎知識から学びたい方は、サプライチェーン攻撃とは|仕組み・事例・対策を初心者にもわかりやすく解説をご覧ください。
## 重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- 実際にサイバー攻撃の被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください。
- 記載内容は作成時点の情報であり、攻撃手法は日々進化している可能性があります。
サプライチェーン攻撃 完全ガイド ナビゲーション
総合ガイド
目的別に探す
- 基礎知識を学ぶ
- 事例・動向を知る
- 自社の対策を始める(現在のカテゴリ)
- 取引先管理を強化する
役職・立場別に探す
業種別に探す
人気のページ
更新履歴
- 初稿公開
